Súlyos hiba a WordPress népszerű bővítményében
A WordPress-hez készült Slider Revolution bővítmény két súlyos biztonsági hiba miatt szorul frissítésre.![](/images/ads/biztonsagcenter/bc_keres_cseresl_800x300.jpg)
Ahogy arról a Biztonságportál Prémium oldalain már beszámoltunk az egyik nagy népszerűségnek örvendő WordPress bővítmény kapcsán két veszélyes sebezhetőségre derült fény. A több mint kilencmillió példányban működő kiegészítő jelentős támadási felületet biztosít a támadók számára, ezért különös figyelmet igényel a frissítése.
A Patchstack biztonsági szakértői által feltárt két biztonsági rés alapvetően XSS-típusú támadásokhoz járulhat hozzá. Az egyik hiba a bemeneti és kimeneti adatok nem megfelelő szűrésére vezethető vissza a bővítmény paraméterbeállításaival összefüggésben, míg a másikat az egyik REST API végpont hiányos adatellenőrzése okozza.
A sebezhetőségek következtében akár egyszerű HTTP-kérésekkel is adatlopásra nyílhat lehetőségük a támadóknak, de egyes esetekben az adatmanipuláció, valamint a jogosultsági szint emelés kockázata sem zárható ki.
A fejlesztők a sebezhetőségeket már orvosolták. Az előbbi hibát a bővítmény 6.7.0-ás verziójával, míg az utóbbit a 6.7.11-es verzió kiadásával szüntették meg. Ezért a kiegészítő frissítésével a sebezhetőségek méregfoga könnyedén kihúzhatóvá vált. A kockázatok csökkentése érdekében érdemes a frissítéseket mielőbb elvégezni.
-
Az Emacs kapcsán egy veszélyes sebezhetőség látott napvilágot.
-
A VIPRE Advanced Security kapcsán három biztonsági rés befoltozására nyílt lehetőség.
-
A Google Chrome legújabb verziója négy biztonsági javítást is tartalmaz.
-
Fél tucat biztonsági rést foltozott be a Microsoft az Edge webböngészőn.
-
Négy biztonsági hiba miatt kapott frissítést az IrfanView.
-
A Moodle-hoz újabb biztonsági frissítések érkeztek.
-
A VMware vCenter Server kapcsán három biztonsági résre derült fény.
-
A Dell ThinOS jelentős mennyiségű biztonsági frissítést kapott.
-
A Dropbox Desktop kapcsán egy veszélyes biztonsági rés került napvilágra.
-
A GitLab újabb biztonsági hibákról számolt be.
A Foci EB és a 2024-es párizsi olimpiai játékok közeledtével az ESET biztonsági szakértői mutatnak 9+1 olyan esetet, amelyekben a kibertámadások áldozatai a sport szerelmesei voltak.
Minden második magyar internetező volt már áldozata kibertámadásnak.